Mit dem Vulnerability Reward Program (VRP) betreibt Google seit über fünf Jahren ein erfolgreiches Bug Bounty-Programm, mit dem indirekt die Sicherheit der eigenen Produkte gesteigert wird. Da es im vergangenen Jahr keine Meldung einer schweren Sicherheitslücke in Chrome OS gegeben hat, erhöht Google den Anreiz: Wer eine schwere Lücke in dem Betriebssystem findet, kann ab sofort bis zu 100.000 Dollar dafür bekommen.
Schlagwort: vulnerability reward
Mit dem Vulnerability Reward Program (VRP) betreibt Google seit über fünf Jahren ein erfolgreiches Bug Bounty-Programm, mit dem indirekt die Sicherheit der eigenen Produkte gesteigert wird. Da es im vergangenen Jahr keine Meldung einer schweren Sicherheitslücke in Chrome OS gegeben hat, erhöht Google den Anreiz: Wer eine schwere Lücke in dem Betriebssystem findet, kann ab sofort bis zu 100.000 Dollar dafür bekommen.
Vor über fünf Jahren hat Google das Vulnerability Reward Program (VRP) gestartet, mit dessen Hilfe die eigenen Angebote sichern werden und besser vor bösartigen Angriffen geschützt werden sollen. Im Rahmen des Programms kann jeder Nutzer entdeckte Sicherheitslücken in Google-Angeboten einreichen und dafür hohe Prämien vom Unternehmen kassieren. Zu Anfang des Jahres wurde nun ein Rückblick veröffentlicht, der zeigt wie sehr sich das Programm für beide Seiten lohnt. Allein im vergangenen Jahr wurden 2 Millionen Dollar ausgezahlt.
Im Rahmen des Bug Bounty-Programms zahlt Google seit vielen Jahren eine Prämie für gemeldete Sicherheitslücken in den eigenen Produkten und hat Anfang diesen Jahres ein neues Programm gestartet, mit dem man den Bugjägern auch die Arbeitszeit zur Auffindung bezahlt. Jetzt hat ein Teilnehmer dieses Programms eine schwere Lücke in YouTube entdeckt mit der es ohne großen Aufwand möglich gewesen ist, JEDES beliebige YouTube-Video ohne Berechtigung zu löschen. Nachdem Google die Lücke gestopft hat, veröffentlicht Kamil Hismatullin nun seine Vorgehensweise.
Google zahlt bereits seit vielen Jahren im Rahmen des Vulnerability Reward Program Prämien für das Finden und Melden von Sicherheitslücken in den eigenen Produkten. Nun wird dieses Programm erweitert und schließt künftig auch Open Source-Projekte ein, die nicht von Google entwickelt worden sind.
Das auffinden von Sicherheitslücken bei Google wird zum lohnenderen Geschäft: Ab sofort wird der Höchstbetrag versechsfacht und auf 20.000 Dollar erhöht. Die Prämie richtet sich nach der Schwere der Lücke und der Sensibilität der Daten. In den letzten 18 Monaten hat Google knapp 460.000 Dollar an 200 Personen ausgezahlt.